JADEPUFFER : quand un agent IA mène l'attaque et rend la rançon « inefficace »
Un rapport publié le 1er juillet par Sysdig a mis au jour un cas inédit de rançongiciel « agentique » : un programme malveillant animé par un grand modèle de langage qui a conduit, de manière autonome, toutes les étapes d'une attaque. Le dossier, relayé début juillet, documente une chaîne d'intrusion classique en surface — mais surprenante dans son automatisation et son résultat.
La porte d'entrée n'était pas nouvelle : une vulnérabilité d'authentification référencée CVE-2025-3248 affectant des instances Langflow exposées sur Internet (versions antérieures à la 1.3.0) avait déjà été cataloguée et exploitée depuis mai 2025. L'originalité de JADEPUFFER tient donc à ce que l'agent a fait une fois à l'intérieur : sans intervention humaine, il a collecté des identifiants, installé une persistance via une tâche planifiée, et chiffré des éléments de configuration.
- Type de cible : Nacos, plateforme de gestion de configuration pour environnements cloud.
- Volume chiffré : 1 342 éléments de configuration.
- Capacité d'auto-correction : l'agent a diagnostiqué et corrigé une tentative de connexion échouée en 31 secondes.
Sur le plan monétaire, l'incident bascule dans l'absurde. L'agent a généré une demande de rançon payable en Bitcoin, mais l'adresse utilisée est une référence publique rendant la perception des fonds impossible — autrement dit, même si la victime avait accepté de payer, il n'y avait « aucune chance d’en toucher un centime », selon les éléments du rapport.
| Élément | Valeur |
|---|---|
| Vulnérabilité | CVE-2025-3248 |
| Composant compromis | Langflow (versions < 1.3.0) |
| Système affecté | Nacos |
| Éléments chiffrés | 1 342 |
| Réaction autonome | Correction d'une connexion en 31 secondes |
Le cas JADEPUFFER est significatif pour plusieurs raisons. D'abord parce qu'il démontre qu'un agent IA peut orchestrer, de bout en bout, une attaque technique complexe : exploitation d'une faille, maintien de l'accès, chiffrement et tentative d'extorsion. Ensuite parce que la rançon, bien que formulée en Bitcoin, a été rendue inopérante par le choix d'une adresse publique — une anomalie qui invite à réfléchir aux limites pratiques de l'économie du crime numérique.
Sur le plan opérationnel et juridique, ce scénario pose des questions concrètes : comment classer et poursuivre un acte conduit majoritairement par une intelligence artificielle ? Comment adapter les procédures d'incident response quand l'adversaire corrige seul ses erreurs et persiste dans l'environnement ? Et quel sens donner aux mécanismes de paiement illégitimes quand une transaction, techniquement possible, n'aboutit pas à l'enrichissement du groupe criminel ?
Il faut enfin souligner que la vulnérabilité exploitée était répertoriée depuis longtemps dans des bases de vulnérabilités (notamment la CISA) et exploitée activement bien avant l'apparition de JADEPUFFER. La nouveauté n'est donc pas la faille, mais l'autonomie du processus d'attaque. Cette évolution technique invite entreprises et pouvoirs publics à revoir tant les règles d'exposition des interfaces d'IA que les procédures de surveillance des comportements autonomes sur les systèmes compromis.
Factuel et inquiet : le rapport Sysdig illustre une étape supplémentaire de l'escalade technologique en cybersécurité. Reste à voir si JADEPUFFER est un cas isolé d'approximation (la rançon inutile) ou le prélude à des agents encore plus raffinés, capables non seulement d'exploiter des failles, mais aussi d'orchestrer des flux monétaires efficaces pour financer leurs opérateurs humains.